IT-Sicherheit – Neue Anforderungen an Kapitalverwaltungsgesellschaften

 

IT-Richtlinien für Kapitalverwaltungsgesellschaften

Das Rundschreiben zur Kapitalverwaltungsaufsichtlichen Anforderungen an die IT (KAIT) in der Fassung vom 1.10.2019 hat unmittelbare Auswirkungen auf den operativen IT-Betrieb von Kapitalverwaltungsgesellschaften. Durch den Entwurf sollen alle IT-gestützten Geschäftsprozesse integriert und mit der laufenden Geschäftsstrategie in Einklang gebracht werden. Die gesetzlichen Vorgaben zur elektronischen Datenverarbeitung müssen ebenfalls berücksichtigt werden. Da im Schreiben keine Umsetzungs- oder Übergangsfristen genannt werden, sind die Vorgaben sofort umzusetzen. Für KVGs bedeutet dies ein großer Aufwand. Im KAIT-Entwurf festgeschriebene Rechenschaftspflichten und Compliance-Richtlinien fordern eine gründliche Dokumentation von Rollen und Identitäten. Damit wird das Berechtigungsmanagement für Benutzer besonders bedeutend. Es gewährleistet, dass alle eingeräumten Zugriffsrechte so ausgestaltet sind und genutzt werden, wie es den organisatorischen und fachlichen Vorgaben der KVG entspricht.

Die Geschäftsleitung legt die IT-Strategie fest

Grundsätzlich erweitert die KAIT den Verantwortungsbereich der Geschäftsleitung um eine zwingende Gewissenhaftigkeit im Informations- und IT-Risikomanage¬ment. Die Geschäftsleitung legt eine nachhaltige IT-Strategie fest, in der die Ziele sowie die Maßnahmen zur Erreichung dieser Ziele dargestellt werden. Diese Strategie muss konsistent sein und fordert Mindestinhalte, wie z.B. Aussagen zum Notfallmanagement, zur strategischen Entwicklung der IT-Aufbau- und Ablauforganisation sowie zur IT-Architektur. Die Formulierung der Strategie muss dabei eine sinnvolle Überprüfung der Zielerreichung möglich machen. Zur Entwicklung und Umsetzung der Strategie bleibt die Möglichkeit bestehen, sich externe Berater und Werkzeuge heranzuziehen. Eine Kontrollpflicht durch die Geschäftsleitung ist dann allerdings weiterhin vorhanden. 

Die IT-Strategie definiert das IT-Governance

Zur IT-Governance gehören die Struktur zur Steuerung sowie Überwachung des Betriebs. Ein weiterer Teil ist die Struktur der Weiterentwicklung der IT-Systeme einschließlich der dazugehörigen IT-Prozesse. Basis für die Definition der IT-Governance ist die IT-Strategie. Neben Regelungen zur IT-Aufbau und -Ablauforganisation, zum Informationsrisiko- sowie Informationssicherheitsmanagement, fordert die KAIT Aussagen zur angemessenen quantitativen und qualitativen Personalausstattung. Dabei müssen alle Mitarbeiter über die erforderlichen Kenntnisse sowie Erfahrungen im Bereich der IT verfügen und das Qualifikationsniveau angemessen sein.

Das Informationsrisikomanagement soll Risiken frühzeitig identifizieren

IT-Systeme und die zugehörigen IT-Prozesse müssen die Integrität, die Verfügbarkeit, die Authentizität sowie die Vertraulichkeit der Daten sicherstellen. Die Geschäftsleitung ist dafür verantwortlich, dass Veränderungen zeitnah angepasst werden. Sobald die KVG wesentliche Veränderungen in ihren IT-Systemen plant, muss eine Risikoanalyse zu den Auswirkungen auf die Informationssicherheit erfolgen. Ferner gewinnen angemessene Überwachungs- und Steuerungsprozesse und die regelmäßige Überprüfung von Notfallmaßnahmen stark an Bedeutung.

Das Informationssicherheitsmanagement fordert einen Sicherheitsbeauftragten

Das Informationssicherheitsmanagement macht Vorgaben zur Informationssicherheit, definiert Prozesse und steuert deren Umsetzung. Es folgt einem fortlaufenden Prozess, der die Phasen Planung, Umsetzung, Erfolgskontrolle sowie Optimierung und Verbesserung umfasst. Die BaFin verpflichtet Gesellschaften einen Informationssicherheitsbeauftragten (ISB) zu ernennen. Der ISB nimmt alle Belange der Informationssicherheit innerhalb der KVG und gegenüber Dritten wahr. Dazu gehört, dass die IT-Strategie, die Informationssicherheitsleitlinie und die definierten Ziele und Maßnahmen zur IT-Sicherheit transparent gemacht und deren Einhaltung überprüft sowie überwacht wird. Alle Beschäftigten der KVG sowie der IT-Dienstleister verpflichten sich wiederum, den ISB über alle IT-Vorfälle zu unterrichten. Jede KVG muss die Funktion des ISB mit einem eigenen Mitarbeiter besetzen, es sei denn die KVG weist eine geringe Mitarbeiteranzahl ohne eigenen IT-Betrieb auf.

Weitere Anforderungen im Überblick

Die Geschäftsleitung muss eine Informationssicherheitsleitlinie beschließen und
innerhalb der KVG angemessen kommunizieren. Darin werden die Ziele und der Geltungsbereich für die Informationssicherheit festgelegt und die wesentlichen organisatorischen Aspekte des Informationssicherheitsmanagements beschrieben. Regelmäßige Überprüfungen und Anpassungen an geänderte Bedingungen werden risikoorientiert vorgenommen. Der IT-Betrieb setzt die Anforderungen der definierten Geschäftsstrategie um, verwaltet die IT-Systeme sowie deren Beziehungen zueinander. Daneben ist der IT-Betrieb für eine angemessene Auswahl sowie regelmäßige Aktualisierungen der Systeme verantwortlich. Die Vorgaben für die Verfahren zur Datensicherung werden schriftlich in einem Datensicherungskonzept festgelegt. Anhand des Konzepts werden Anforderungen an die Verfügbarkeit, Lesbarkeit und Aktualität der Kunden- und Geschäftsdaten abgeleitet.


IT-Sicherheit durch unser SOCaaS erhöhen

Wie die KAIT zeigt, müssen sich KVGs intensiv mit neuen Regularien bei der IT-Sicherheit beschäftigen. Unser Security Operations Center as a Service (SOCaaS) kann sie dabei unterstützen, die geforderten Regeln umzusetzen und zu ergänzen. Das SOCaaS stellt ein passendes System zur Angriffserkennung dar. Dieses sollte in ein zertifiziertes Informationssicherheits-Management-System (ISMS) eingebunden werden. Als Teil des SOCaaS und zur Erkennung und Reaktion von Cyberangriffen ist unser SIEM besonders geeignet. Eine Security Information and Event Management (SIEM)-Lösung erfasst und analysiert Sicherheitsereignisse sowie eine Vielzahl anderer Ereignis- und Kontextdatenquellen. Dies erfolgt sowohl nahezu in Echtzeit als auch mit historischen Daten. Die Analysen übernimmt unser Team für Sie. Ihre IT-Abteilung wird dadurch maßgeblich entlastet. Sprechen Sie uns gerne an.

Ähnliche Beiträge

Zurück

Markus Müller

Diplom-Wirtschaftsinformatiker, Certified Information Systems Auditor (CISA), Certified Data Privacy Solutions Engineer (CDPSE)

Zum Profil von Markus Müller

Joerg Lammerich

Certified OSSTMM 3.0 Professional Security Tester

Zum Profil von Joerg Lammerich

Durch das Laden des YouTube Videos erklären Sie sich damit einverstanden, dass Cookies durch YouTube und Google gesetzt werden, und dadurch Daten an diese Anbieter übermittelt werden. Wir verarbeiten die Daten um die Zugriffe auf unsere YouTube-Videos analysieren zu können oder die Wirksamkeit unserer Werbung und Anzeigen auszuwerten. YouTube und Google verarbeiten die Daten auch zu eigenen Zwecken. Zudem erklären Sie sich auch damit einverstanden, dass Ihre Daten in die USA übermittelt werden, obwohl in den USA das Risiko besteht, dass US-Behörden zu Überwachungszwecken Zugriff auf Ihre Daten erhalten und Ihnen dagegen möglicherweise keine ausreichenden Rechtsschutzmöglichkeiten zustehen. Weitere Informationen finden Sie in unserer Datenschutzerklärung.
YouTube Video laden
Permalink